Acerca del contenido de seguridad de iOS 9

Este documento describe el contenido de seguridad de iOS 9.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener información sobre la clave de seguridad PGP de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

iOS 9

  • Apple Pay

    Disponible para: iPhone 6 y iPhone 6 Plus

    Impacto: algunas tarjetas pueden permitir que un terminal recupere información limitada sobre transacciones recientes al realizar un pago

    Descripción: la funcionalidad de registro de transacciones se había habilitado en ciertas configuraciones. Para resolver este problema se ha eliminado la funcionalidad de registro de transacciones. Este problema no afectaba a los dispositivos iPad.

    ID CVE

    CVE-2015-5916

  • AppleKeyStore

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante local podría tener la posibilidad de restablecer los intentos de introducción de código erróneos con una copia de seguridad de iOS

    Descripción: existía un problema debido al restablecimiento de los intentos de introducción de código erróneos con una copia de seguridad del dispositivo de iOS. Se solucionó el problema perfeccionando la lógica de los fallos de introducción de códigos.

    ID CVE

    CVE-2015-5850: un investigador anónimo

  • App Store

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: al hacer clic en un enlace ITMS con fines malintencionados se podría provocar una denegación de servicio en una aplicación con firma de empresa

    Descripción: existía un problema con la instalación a través de enlaces de ITMS. Se resolvió por medio de una verificación adicional de la instalación.

    ID CVE

    CVE-2015-5856: Zhaofeng Chen, Hui Xue y Tao (Lenx) Wei de FireEye, Inc.

  • Audio

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: reproducir un archivo de audio con fines malintencionados podría provocar una interrupción inesperada de la aplicación

    Descripción: existía un problema de corrupción de memoria en la gestión de archivos de audio. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-5862: YoungJin Yoon de Information Security Lab. (Adv.: prof. Taekyoung Kwon), Yonsei University, Seúl, Corea

  • Política de confianza en certificados

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: actualización de la política de confianza en certificados

    Descripción: la política de confianza en certificados se ha actualizado. Se puede ver la lista completa de certificados en https://support.apple.com/es-es/HT204132.

  • CFNetwork

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una URL creada con fines malintencionados tiene la posibilidad de superar la seguridad del transporte de HTTP estricta (HTTP Strict Transport Security, HSTS) y filtrar datos confidenciales

    Descripción: existía una vulnerabilidad del análisis de URL en la gestión de HSTS. Para resolver este problema se ha mejorado el análisis de las URL.

    ID CVE

    CVE-2015-5858: Xiaofeng Zheng de Blue Lotus Team, Tsinghua University

  • CFNetwork

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un sitio web malintencionado podía rastrear a los usuarios dentro del modo de navegación privada de Safari

    Descripción: existía un problema en la gestión del estado de HSTS en el modo de navegación privada de Safari. Para resolver este problema se ha mejorado la gestión de estado.

    ID CVE

    CVE-2015-5860: Sam Greenhalgh de RadicalResearch Ltd

  • CFNetwork

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una persona con acceso físico a un dispositivo iOS podría leer los datos de la caché de apps de Apple

    Descripción: los datos de la caché se encriptaban con una clave protegida únicamente por el UID de hardware. Para resolver este problema, se han encriptado los datos de la memoria caché con una clave protegida por el UID de hardware y el código del usuario.

    ID CVE

    CVE-2015-5898: Andreas Kurtz de NESO Security Labs

  • Cookies de CFNetwork

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante desde una posición de red con privilegios puede rastrear la actividad de un usuario

    Descripción: existía un problema con las cookies entre dominios relacionado con la gestión de los dominios de nivel superior. El problema se ha solucionado aplicando restricciones mejoradas para la creación de cookies.

    ID CVE

    CVE-2015-5885: Xiaofeng Zheng de Blue Lotus Team, Tsinghua University

  • Cookies de CFNetwork

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante podía crear cookies no intencionadas para un sitio web

    Descripción: WebKit aceptaría que se configurasen varias cookies en la API document.cookie. Para resolver este problema se ha mejorado el análisis.

    ID CVE

    CVE-2015-3801: Erling Ellingsen de Facebook

  • CFNetwork FTPProtocol

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: servidores de FTP con fines malintencionados podrían provocar que el cliente ejecutase un reconocimiento en otros hosts

    Descripción: existía un problema con la gestión de los paquetes de FTP al utilizar el comando PASV. Para resolver este problema se ha mejorado la validación.

    ID CVE

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTPProtocol

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante con una posición de red privilegiada podría ser capaz de interceptar el tráfico de red

    Descripción: existía un problema en la gestión de entradas de lista de precarga HSTS en el modo de navegación privada de Safari. Para resolver este problema se ha mejorado la gestión de estado.

    ID CVE

    CVE-2015-5859: Rosario Giustolisi de la Universidad de Luxemburgo

  • CFNetwork Proxies

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: conectarse a un proxy web con fines malintencionados podría configurar cookies maliciosas para un sitio web

    Descripción: existía un problema con la gestión de las respuestas de conexión con proxy. Para resolver este problema se ha eliminado el encabezado set-cookie al analizar la respuesta de conexión.

    ID CVE

    CVE-2015-5841: Xiaofeng Zheng de Blue Lotus Team, Tsinghua University

  • CFNetwork SSL

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante con una posición de red privilegiada podría interceptar conexiones SSL/TLS

    Descripción: existía un problema de validación de certificados en NSURL cuando cambiaba un certificado. Para resolver este problema se ha mejorado la validación de los certificados.

    ID CVE

    CVE-2015-5824: Timothy J. Wood de The Omni Group

  • CFNetwork SSL

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante podría ser capaz de descifrar datos protegidos mediante SSL

    Descripción: se conocen ataques contra la confidencialidad de RC4. Un atacante podría forzar el uso de RC4 incluso si el servidor prefería cifrados mejores, por medio del bloqueo de TLS 1.0 y conexiones superiores hasta que CFNetwork probase con SSL 3.0, que solamente permite RC4. Para resolver este problema se ha eliminado el recurso alternativo a SSL 3.0.

  • CoreAnimation

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación maliciosa podría filtrar información confidencial sobre los usuarios

    Descripción: las aplicaciones podían acceder al búfer de trama de la pantalla mientras operaban en segundo plano. Para resolver este problema se ha mejorado el control de accesos en IOSurfaces.

    ID CVE

    CVE-2015-5880: Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li de la School of Information Systems Singapore Management University, Feng Bao y Jianying Zhou del Cryptography and Security Department Institute de Infocomm Research

  • CoreCrypto

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante podía determinar una clave privada

    Descripción: por medio de la observación de muchos intentos de desencriptación o inicio de sesión, un atacante tenía la posibilidad de determinar la clave privada de RSA. Para resolver este problema se han utilizado algoritmos de encriptación mejorados.

  • CoreText

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: existía un problema de corrupción de la memoria en el procesamiento de archivos de tipo de letra. Se ha solucionado el problema mejorando la validación de las entradas.

    ID CVE

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: el procesamiento de un archivo de texto creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: existían problemas de corrupción de memoria en el procesamiento de los archivos de texto. Estos problemas se han solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-5829: M1x7e1 de Safeye Team (www.safeye.org)

  • Dev Tools

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema de corrupción de la memoria en dyld. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-5876: beist de grayhash

  • Imágenes de disco

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un usuario local podría ejecutar código arbitrario con privilegios del sistema

    Descripción: había un problema de corrupción de la memoria en DiskImages. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación podría omitir la firma de código

    Descripción: existía un problema con la validación de la firma de código de los ejecutables. Para resolver este problema se ha mejorado la comprobación de los límites.

    ID CVE

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • Game Center

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación con fines malintencionados de Game Center podría acceder a la dirección de correo electrónico de un jugador

    Descripción: existía un problema con Game Center relacionado con la gestión del correo electrónico del jugador. Se ha solucionado el problema mejorando las restricciones de acceso.

    ID CVE

    CVE-2015-5855: Nasser Alnasser

  • ICU

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: varias vulnerabilidades en ICU

    Descripción: había varias vulnerabilidades en las versiones de ICU anteriores a la 53.1.0. Estas se solucionaron actualizando ICU a la versión 55.1.

    ID CVE

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand de Google Project Zero

  • IOAcceleratorFamily

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación creada con fines malintencionados podría ser capaz de determinar el diseño de la memoria de kernel

    Descripción: había un problema que provocaba la divulgación del contenido de la memoria de kernel. Para resolver este problema se ha mejorado la comprobación de los límites.

    ID CVE

    CVE-2015-5834: Cererdlong de Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un usuario local podría ejecutar código arbitrario con privilegios del sistema

    Descripción: había un problema de corrupción de la memoria en IOAcceleratorFamily. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-5848: Filippo Bigarella

  • IOHIDFamily

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: había un problema de corrupción de la memoria en IOHIDFamily. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-5867: moony li de Trend Micro

  • IOKit

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema de corrupción de la memoria en el kernel. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un usuario local podría ejecutar código arbitrario con privilegios del sistema

    Descripción: había un problema de corrupción de la memoria en IOMobileFrameBuffer. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante local podría leer la memoria de kernel

    Descripción: existía un problema con la inicialización de la memoria en el kernel. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-5863: Ilja van Sprundel de IOActive

  • iTunes Store

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: las credenciales del ID de Apple podrían persistir en el llavero después de cerrar sesión

    Descripción: había un problema con el borrado del llavero. Para resolver este problema se ha mejorado el borrado de limpieza de las cuentas.

    ID CVE

    CVE-2015-5832: Kasif Dekel de Check Point Software Technologies

  • JavaScriptCore

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: había problemas de corrupción de memoria en WebKit. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5791: Apple

    CVE-2015-5793: Apple

    CVE-2015-5814: Apple

    CVE-2015-5816: Apple

    CVE-2015-5822: Mark S. Miller de Google

    CVE-2015-5823: Apple

  • Kernel

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel

    Descripción: existía un problema de corrupción de la memoria en el kernel. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-5868: Cererdlong de Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard de m00nbsd

    CVE-2015-7118: Jonathan Zdziarski

    Entrada actualizada el 21 de diciembre de 2016

  • Kernel

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante local podría controlar el valor de las cookies de pila

    Descripción: existían debilidades dentro de la generación de las cookies de pila del espacio de usuario. Para resolver este problema se ha mejorado la generación de las cookies de pila.

    ID CVE

    CVE-2013-3951: Stefan Esser

  • Kernel

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un proceso local podía modificar a otros procesos sin comprobaciones de autorización

    Descripción: existía un problema debido al cual los procesos de root que utilizaban la API processor_set_tasks tenían permiso para recuperar los puertos de tareas de otros procesos. Para resolver este problema se han añadido comprobaciones de las autorizaciones.

    ID CVE

    CVE-2015-5882: Pedro Vilaça, trabajando sobre una base de investigación original obra de Ming-chieh Pan y Sung-ting Tsai; Jonathan Levin

  • Kernel

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante podía ser capaz de lanzar ataques de denegación de servicio contra conexiones de TCP concretas sin saber el número de secuencia correcto

    Descripción: existía un problema con la validación que hace xnu de los encabezados de paquetes de TCP. Estos problemas se han solucionado mejorando el proceso de validación de los encabezados de paquetes de TCP.

    ID CVE

    CVE-2015-5879: Jonathan Looney

  • Kernel

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante en un segmento de LAN local podría inhabilitar el enrutado IPv6

    Descripción: existía un problema derivado de la validación insuficiente en la gestión de los avisos de router de IPv6, que permitía a un atacante establecer el límite de saltos con un valor arbitrario. Para resolver este problema se ha impuesto un límite de saltos mínimo.

    ID CVE

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un usuario local podría determinar el diseño de memoria de kernel

    Descripción: existía un problema en XNU que provocaba la divulgación de la memoria de kernel. Para resolver este problema se ha mejorado la inicialización de las estructuras de la memoria de kernel.

    ID CVE

    CVE-2015-5842: beist de grayhash

  • Kernel

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un usuario local podría provocar una denegación de servicio del sistema

    Descripción: existía un problema con el montaje de unidades HFS. Para resolver este problema se han añadido comprobaciones de validación adicionales.

    ID CVE

    CVE-2015-5748: Maxime Villard de m00nbsd

  • libc

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante remoto podría provocar la ejecución de código arbitrario

    Descripción: existía un problema de corrupción de la memoria en la función fflush. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2014-8611: Adrian Chadd y Alfred Perlstein de Norse Corporation

  • libpthread

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel

    Descripción: existía un problema de corrupción de la memoria en el kernel. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-5899: Lufeng Li de Qihoo 360 Vulcan Team

  • Mail

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante podía enviar un correo electrónico que parecería proceder de un contacto incluido en la agenda de direcciones del destinatario

    Descripción: existía un problema con la gestión de la dirección del remitente. Para resolver este problema se ha mejorado la validación.

    ID CVE

    CVE-2015-5857: Emre Saglam de salesforce.com

  • Multipeer Connectivity

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante local podría ser capaz de observar los datos de varios pares (conectividad multipar) sin proteger

    Descripción: existía un problema en la gestión del inicializador de conveniencia, debido al cual era posible rebajar activamente el nivel de encriptación hasta una sesión sin encriptación. Para resolver este problema se ha modificado el inicializador de conveniencia para que requiera encriptación.

    ID CVE

    CVE-2015-5851: Alban Diquet (@nabla_c0d3) de Data Theorem

  • NetworkExtension

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación creada con fines malintencionados podría ser capaz de determinar el diseño de la memoria de kernel

    Descripción: un problema con la memoria no inicializada en el kernel provocaba la divulgación del contenido de la memoria de kernel. Para resolver este problema se ha inicializado la memoria.

    ID CVE

    CVE-2015-5831: Maxime Villard de m00nbsd

  • OpenSSL

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: varias vulnerabilidades en OpenSSL

    Descripción: había varias vulnerabilidades en las versiones de OpenSSL anteriores a la 0.9.8zg. Estos problemas se han solucionado actualizando OpenSSL a la versión 0.9.8zg.

    ID CVE

    CVE-2015-0286

    CVE-2015-0287

  • PluginKit

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación malintencionada podía instalar extensiones antes de que se confirmase la confianza en la aplicación

    Descripción: existía un problema con la validación de las extensiones durante la instalación. Para resolver este problema se ha mejorado la verificación de las apps.

    ID CVE

    CVE-2015-5837: Zhaofeng Chen, Hui Xue y Tao (Lenx) Wei de FireEye, Inc.

  • removefile

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: el procesamiento de datos malintencionados podría provocar un cierre inesperado de la aplicación

    Descripción: existía un fallo de desbordamiento en las rutinas de división de checkint. Para resolver este problema se ha mejorado las rutinas de división.

    ID CVE

    CVE-2015-5840: Un investigador anónimo

  • Safari

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un usuario local podría ser capaz de leer los marcadores de Safari en un dispositivo de iOS bloqueado sin el código

    Descripción: los datos de los marcadores de Safari se encriptaban con una clave protegida únicamente por el UID de hardware. Para resolver este problema se han encriptado los datos de marcadores de Safari con una clave protegida por el UID de hardware y el código del usuario.

    ID CVE

    CVE-2015-7118: Jonathan Zdziarski

    Entrada actualizada el 21 de diciembre de 2016

  • Safari

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la interfaz del usuario

    Descripción: existía un problema que podría permitir que un sitio web mostrase contenido con la URL de un sitio web diferente. Para resolver este problema se ha mejorado la gestión de las URL.

    ID CVE

    CVE-2015-5904: Erling Ellingsen de Facebook, Łukasz Pilorz

  • Safari

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la interfaz del usuario

    Descripción: navegar hasta un sitio web malintencionado con un abridor de ventanas formado incorrectamente podría permitir que se mostrasen URL arbitrarias. Para resolver este problema se han mejorado los abridores de ventanas.

    ID CVE

    CVE-2015-5905: Keita Haga de keitahaga.com

  • Safari

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: los sitios web maliciosos podrían realizar el seguimiento de los usuarios utilizando certificados de cliente

    Descripción: existía un problema en la comparación de los certificados de cliente de Safari para la autenticación SSL. Para resolver este problema se ha mejorado la comparación de certificados de cliente válidos.

    ID CVE

    CVE-2015-1129: Stefan Kraus de fluid Operations AG, Sylvain Munaut de Whatever s.a.

  • Safari

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la interfaz del usuario

    Descripción: varias inconsistencias de la interfaz de usuario podrían haber permitido que un sitio web malintencionado mostrase una URL arbitraria. Estos problemas se han solucionado mejorando la lógica de presentación de las URL.

    ID CVE

    CVE-2015-5764: Antonio Sanso (@asanso) de Adobe

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski a través de Secunia, Masato Kinugawa

  • Navegación segura de Safari

    iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: navegar hasta la dirección IP de un sitio web malintencionado conocido podría no activar una advertencia de seguridad

    Descripción: la función de Navegación segura de Safari no advertía a los usuarios al visitar sitios web malintencionados conocidos por sus direcciones IP. Para resolver este problema se ha mejorado la detección de los sitios malintencionados.

    Rahul M de TagsDock

  • Seguridad

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una app malintencionada podría ser capaz de interceptar comunicaciones entre apps

    Descripción: existía un problema que permitía que una app malintencionada interceptase la URL y la comunicación de esquemas entre apps. Este problema se mitigó mostrando un cuadro de diálogo donde se utiliza un esquema de URL por primera vez.

    ID CVE

    CVE-2015-5835: Teun van Run de FiftyTwoDegreesNorth B.V.; XiaoFeng Wang de Indiana University, Luyi Xing de Indiana University, Tongxin Li de Peking University, Tongxin Li de Peking University, Xiaolong Bai de Tsinghua University

  • Siri

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una persona con acceso físico a un dispositivo iOS podría ser capaz de utilizar Siri para leer notificaciones de contenido configurado para no mostrarse con la pantalla bloqueada

    Descripción: cuando se efectuaba una solicitud a Siri, el servidor no comprobaba las restricciones aplicadas por la parte del cliente. Para resolver este problema se ha mejorado la comprobación de las restricciones.

    ID CVE

    CVE-2015-5892: Robert S Mozayeni, Joshua Donvito

  • SpringBoard

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una persona con acceso físico a un dispositivo iOS podría responder a un mensaje de audio procedente de la pantalla de bloqueo cuando las previsualizaciones del mensaje desde la pantalla de bloqueo se desactivan

    Descripción: existía un problema con la pantalla de bloqueo, que permitía a los usuarios responder a mensajes de audio cuando las previsualizaciones de los mensajes estaban desactivadas. Para resolver este problema se ha mejorado la gestión del estado.

    ID CVE

    CVE-2015-5861: Daniel Miedema de Meridian Apps

  • SpringBoard

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación malintencionada podría ser capaz de suplantar las ventanas de diálogos de otra aplicación

    Descripción: existía un problema de accesos con las llamadas de API con privilegios. Para resolver este problema se han aplicado restricciones adicionales.

    ID CVE

    CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui

  • SQLite

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: varias vulnerabilidades en SQLite v3.8.5

    Descripción: existían varias vulnerabilidades en SQLite v3.8.5. Estos problemas se han solucionado actualizando SQLite a la versión 3.8.10.2.

    ID CVE

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: había un problema de corrupción de la memoria en Tidy. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5522: Fernando Muñoz de NULLGroup.com

    CVE-2015-5523: Fernando Muñoz de NULLGroup.com

  • WebKit

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: las referencias a objetos podrían filtrarse entre orígenes aislados en eventos personalizados, eventos de mensajes y eventos de estado emergente

    Descripción: un problema de filtración de objetos rompió la barrera de aislamiento entre orígenes. Para resolver este problema se ha mejorado el aislamiento entre orígenes.

    ID CVE

    CVE-2015-5827: Gildas

  • WebKit

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: había problemas de corrupción de memoria en WebKit. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5792: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

  • WebKit

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: la visita a un sitio web creado con fines malintencionados podría conducir a una marcación involuntaria

    Descripción: existía un problema en la gestión de las URL tel://, facetime:// y facetime-audio://. Para resolver este problema se ha mejorado la gestión de las URL.

    ID CVE

    CVE-2015-5820: Andrei Neculaesei, Guillaume Ross

  • WebKit

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: QuickType podría aprender el último carácter de una contraseña en un formulario web completado

    Descripción: existía un problema en la gestión que efectuaba WebKit del contexto de introducción de contraseñas. Para resolver este problema se ha mejorado la gestión del contexto de introducción.

    ID CVE

    CVE-2015-5906: Louis Romero de Google Inc.

  • WebKit

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante que se encuentre en una posición de red privilegiada podría redirigir el tráfico a un dominio malintencionado

    Descripción: existía un problema en la gestión de las memorias caché de recursos en sitios con certificados no válidos. Para resolver este problema se ha rechazado la caché de aplicación de los dominios con certificados no válidos.

    ID CVE

    CVE-2015-5907: Yaoqi Jia de National University of Singapore (NUS)

  • WebKit

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un sitio web creado con fines malintencionados podría ocasionar el filtrado de datos en orígenes cruzados

    Descripción: Safari permitía que se cargasen hojas de estilo de orígenes cruzados con tipos MIME no CSS que se podrían utilizar para el filtrado de datos de orígenes cruzados. Para resolver este problema se han limitado los tipos de MIME para las hojas de estilo de orígenes cruzados.

    ID CVE

    CVE-2015-5826: filedescriptor, Chris Evans

  • WebKit

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: la API Performance puede permitir que un sitio web creado con fines malintencionados filtre el historial de navegación, la actividad en redes y los movimientos del ratón

    Descripción: la API Performance de WebKit podría permitir que un sitio web creado con fines malintencionados filtrase el historial de navegación, la actividad en redes y los movimientos del ratón por medio de la medición del tiempo. Para resolver este problema se ha limitado la resolución del tiempo.

    ID CVE

    CVE-2015-5825: Yossi Oren et al. de Network Security Lab de Columbia University

  • WebKit

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante que se encontrase en una posición de red privilegiada podría filtrar información confidencial de los usuarios

    Descripción: existía un problema relacionado con los encabezados de Content-Disposition que contienen adjunto de tipos. Para resolver este problema se han deshabilitado ciertas funcionalidades para las páginas de adjunto de tipos.

    ID CVE

    CVE-2015-5921: Mickey Shkatov de Intel(r) Advanced Threat Research Team, Daoyuan Wu de Singapore Management University, Rocky K. C. Chang de Hong Kong Polytechnic University, Łukasz Pilorz, superhei de www.knownsec.com

  • WebKit Canvas

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: visitar un sitio web creado con fines malintencionados podría divulgar datos de imágenes de otro sitio web

    Descripción: existía un problema de orígenes cruzados con las imágenes de elemento “canvas” en WebKit. Para resolver este problema se ha mejorado el seguimiento de los orígenes de seguridad.

    ID CVE

    CVE-2015-5788: Apple

  • Carga de páginas de WebKit

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: WebSockets podría omitir la imposición de políticas de contenido mixto

    Descripción: un problema de aplicación insuficiente de políticas permitía que WebSockets cargase contenido mixto. Para resolver este problema se ha ampliado la imposición de políticas de contenido mixto para WebSockets.

    Kevin G. Jones de Higher Logic

FaceTime no está disponible en todos los países o regiones.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: